Un actor de amenaza del enlace con China conocido como APT24 Se ha observado el uso de un malware previamente no documentado denominado BADAUDIO para establecer acercamiento remoto persistente a redes comprometidas como parte de una campaña de casi tres abriles.
“Mientras que las operaciones anteriores se basaban en compromisos web estratégicos amplios para comprometer sitios web legítimos, APT24 recientemente ha pasado a utilizar vectores más sofisticados dirigidos a organizaciones en Taiwán”, dijeron los investigadores de Google Threat Intelligence Group (GTIG), Harsh Parashar, Tierra Duncan y Dan Perez.
“Esto incluye el compromiso trillado de una empresa regional de marketing digital para ejecutar ataques a la esclavitud de suministro y el uso de campañas de phishing dirigidas”.
APT24, igualmente llamado Pitty Tiger, es el apodo asignado a un supuesto corro de piratería chino que se ha dirigido a los sectores estatal, retrete, de construcción e ingeniería, minería, organizaciones sin fines de ganancia y telecomunicaciones en Estados Unidos y Taiwán. Además se sabe que el corro participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, centrándose específicamente en información que hace que las organizaciones sean competitivas en sus campos, según Google.
Según un noticia de FireEye de julio de 2014, se cree que el adversario estaba activo ya en 2008, y los ataques aprovechaban los correos electrónicos de phishing para engañar a los destinatarios para que abrieran documentos de Microsoft Office que, a su vez, explotan fallas de seguridad conocidas en el software (por ejemplo, CVE-2012-0158 y CVE-2014-1761) para infectar sistemas con malware.
Algunas de las familias de malware asociadas con APT24 incluyen CT RAT, una transformación de Enfal/Lurid Downloader llamamiento MM RAT (igualmente conocida como Goldsun-B) y variantes de Gh0st RAT conocidas como Paladin RAT y Leo RAT. Otro malware extraordinario utilizado por el actor de amenazas es una puerta trasera llamamiento Taidoor (igualmente conocida como Roudan).
Se considera que APT24 está estrechamente relacionado con otro corro de amenazas persistentes avanzadas (APT) llamado Earth Aughisky, que igualmente ha implementado Taidoor en sus campañas y ha explotado la infraestructura previamente atribuida a APT24 como parte de ataques que distribuyen otra puerta trasera denominada Specas.
Ambas cepas de malware, según un noticia de Trend Micro de octubre de 2022, están diseñadas para acertar la configuración del proxy de un archivo específico “%systemroot%system32sprxx.dll”.
Los últimos hallazgos de GTIG muestran que la campaña BADAUDIO ha estado en marcha desde noviembre de 2022, y los atacantes utilizan abrevaderos, compromisos de la esclavitud de suministro y phishing como vectores de acercamiento auténtico.
BADAUDIO, un malware mucho ofuscado escrito en C++, utiliza el aplanamiento del flujo de control para resistir la ingeniería inversa y actúa como un descargador de primera etapa que es capaz de descargar, descifrar y ejecutar una carga útil cifrada con AES desde un servidor de comando y control (C2) codificado. Funciona recopilando y filtrando información básica del sistema al servidor, que argumenta con la carga útil que se ejecutará en el host. En un caso, se trataba de una baliza de ataque de cobalto.
 |
| Esquema de la campaña BADAUDIO |
“BADAUDIO normalmente se manifiesta como una biblioteca de vínculos dinámicos (DLL) maliciosa que aprovecha el secuestro de orden de búsqueda de DLL (MITRE ATT&CK T1574.001) para su ejecución a través de aplicaciones legítimas”, dijo GTIG. “Las variantes observadas recientemente indican una esclavitud de ejecución refinada: archivos cifrados que contienen DLL de BADAUDIO próximo con archivos VBS, BAT y LNK”.
Desde noviembre de 2022 hasta al menos principios de septiembre de 2025, se estima que APT24 ha comprometido más de 20 sitios web legítimos para inyectar código JavaScript ladino para excluir específicamente a los visitantes provenientes de macOS, iOS y Android, suscitar una huella digital única del navegador utilizando la biblioteca FingerprintJS y mostrarles una ventana emergente falsa instándolos a descargar BADAUDIO bajo la apariencia de una aggiornamento de Google Chrome.
Luego, a partir de julio de 2024, el corro de piratas informáticos irrumpió en una empresa regional de marketing digital en Taiwán para orquestar un ataque a la esclavitud de suministro inyectando JavaScript ladino en una biblioteca de JavaScript ampliamente utilizada que la empresa distribuía, lo que le permitió secuestrar más de 1.000 dominios.
El script de terceros modificado está configurado para demorar a un dominio con errores tipográficos que se hace producirse por una red de entrega de contenido (CDN) legítima y recuperar el JavaScript controlado por el atacante para tomar huellas dactilares de la máquina y luego mostrar la ventana emergente para descargar BADAUDIO luego de la garra.
“El compromiso de junio de 2025 empleó inicialmente la carga de secuencias de comandos condicionales basadas en una identificación web única (el nombre de dominio específico) relacionada con el sitio web utilizando las secuencias de comandos de terceros comprometidas”, dijo Google. “Esto sugiere una orientación personalizada, limitando el compromiso web clave (MITRE ATT&CK T1189) a un solo dominio”.
 |
| Ataque a la esclavitud de suministro JS comprometida para entregar malware BADAUDIO |
“Sin requisa, durante un período de diez días en agosto, las condiciones se levantaron temporalmente, permitiendo que los 1.000 dominios que usaban los scripts quedaran comprometidos antiguamente de que se volviera a imponer la restricción diferente”.
Además se ha observado que APT24 realiza ataques de phishing dirigidos desde agosto de 2024, utilizando señuelos relacionados con una estructura de rescate de animales para engañar a los destinatarios para que respondan y, en última instancia, entreguen BADAUDIO a través de archivos cifrados alojados en Google Drive y Microsoft OneDrive. Estos mensajes vienen equipados con píxeles de seguimiento para confirmar si los destinatarios abrieron los correos electrónicos y adaptar sus esfuerzos en consecuencia.
“El uso de técnicas avanzadas como el compromiso de la esclavitud de suministro, la ingeniería social de múltiples capas y el atropello de servicios legítimos en la aglomeración demuestra la capacidad del actor para un espionaje persistente y adaptable”, dijo Google.
El corro APT China-Nexus apunta al Sudeste Oriental
La divulgación se produce cuando CyberArmor detalló una campaña de espionaje sostenida orquestada por un supuesto actor de amenazas del enlace con China contra el gobierno, los medios y los sectores de telediario en Laos, Camboya, Singapur, Filipinas e Indonesia. La actividad ha sido nombrada en código. Dragón de otoño.
La esclavitud de ataque comienza con un archivo RAR probablemente enviado como archivo adjunto en mensajes de phishing que, cuando se extrae, explota una defecto de seguridad de WinRAR (CVE-2025-8088, puntuación CVSS: 8.8) para iniciar un script por lotes (“Windows Defender Definición Update.cmd”) que configura la persistencia para asegurar que el malware se inicie automáticamente cuando el usufructuario inicie sesión en el sistema la próxima vez.
Además descarga un segundo archivo RAR alojado en Dropbox a través de PowerShell. El archivo RAR contiene dos archivos, un ejecutable seguro (“obs-browser-page.exe”) y una DLL maliciosa (“libcef.dll”). Luego, el script por lotes ejecuta el binario para descargar la DLL, que luego se comunica con el actor de amenazas a través de Telegram para obtener comandos (“shell”), capturar capturas de pantalla (“screenshot”) y soltar cargas avíos adicionales (“upload”).
“El compensador del bot (actor de amenazas) utiliza estos tres comandos para compendiar información y realizar un registro de la computadora de la víctima y desplegar malware de tercera etapa”, dijeron los investigadores de seguridad Nguyen Nguyen y BartBlaze. “Este diseño permite que el compensador permanezca sigiloso y evada la detección”.
La tercera etapa implica una vez más el uso de carga contiguo de DLL para iniciar una DLL fraudulenta (“CRClient.dll”) mediante el uso de un binario verdadero (“Creative Cloud Helper.exe”), que luego descifra y ejecuta el código shell responsable de cargar y ejecutar la carga útil final, un implante voluble escrito en C++ que puede comunicarse con un servidor remoto (“public.megadatacloud(.)com”) y admite ocho comandos diferentes.
- 65, para ejecutar un comando específico usando “cmd.exe”, recopile el resultado y extráigalo al servidor C2
- 66, para cargar y ejecutar una DLL
- 67, para ejecutar shellcode
- 68, para modernizar la configuración
- 70, para acertar un archivo proporcionado por el cirujano
- 71, para destapar un archivo y escribir el contenido proporcionado por el cirujano
- 72, para obtener/configurar el directorio flagrante
- 73, descansar durante un intervalo casual y terminarse
Si aceptablemente la actividad no ha estado vinculada a un actor o corro de amenazas específico, posiblemente sea el trabajo de un corro enlace con China que posee capacidades operativas intermedias. Esta evaluación se friso en los continuos ataques del adversario a los países que rodean el Mar de China Meridional.
“La campaña de ataque está dirigida”, dijeron los investigadores. “A lo espléndido de nuestro investigación, observamos con frecuencia que las siguientes etapas se alojaban detrás de Cloudflare, con restricciones geográficas habilitadas, así como otras restricciones, como permitir solo agentes de usufructuario HTTP específicos”.
